デジタル・テクノロジに対する企業の依存度はますます高まっており、モノのインターネット(IoT)の採用によってセキュリティはより複雑になっている。セキュリティおよびリスク・マネジメントのリーダーは、今後、デジタル・トラスト(信頼)に基づき、回復力および耐性のあるセキュリティ・プログラムを策定する必要があるという。
ガートナーのリサーチ バイス プレジデント 兼 ガートナー フェローで、6月に米国で開催された「ガートナー セキュリティ&リスク・マネジメント サミット2017」のチェア・パーソンであるトム・ショルツ氏は、セキュリティおよびリスク・マネジメントのリーダーがデジタル・ビジネスに対してどのようにセキュリティ・プログラムを策定しているのか、また対応すべき課題にはどのようなものがあるのかについて、次のように解説している。
Q:セキュリティおよびリスク・マネジメントは、デジタル・ビジネスをサポートするためにどのように進化しましたか
A:デジタル・ビジネスでは、「アクセス」と「コラボレーション」が鍵となります。その中で企業は、外部のパートナーや顧客の参加を促さなければなりません。一般的にエンドユーザーは、セキュリティ・チェーンにおける最大の弱点とされてきました。デジタルの世界において、エンドユーザーはセキュリティ機能およびユーザー中心型ソリューションの一部になります。このため、セキュリティおよびリスク・マネジメントのリーダーは、「信頼」をベースにプログラムを策定しています。また、セキュリティに対するこれまでの「デフォルトで拒否」のアプローチに替わり、「デフォルトで許可」のアプローチが登場しています。これは、セキュリティ・プログラムの開発を根本的に変えることになります。
Q:セキュリティおよびリスク・マネジメントのリーダーが注目すべきテクノロジは何ですか
A:ユーザー/エンティティ挙動分析(UEBA)は重要なテクノロジです。また、アダプティブ・セキュリティ・アーキテクチャを理解して適用することも重要です。人工知能(AI)は、コンテキスト・ベースの状況に応じたインテリジェンスを提供することで、セキュリティに関する意思決定を向上させることができます。ブロックチェーンは、デジタル・コマースの形を変えつつありますが、分散型の信頼環境をサポートする手段の1つとして、セキュリティ面においても潜在的な価値を有しています。
新しいテクノロジによって、新しいリスクも生じます。AIは、アルゴリズムや、企業のシステムにとって何が正常なのかを定義する企業固有のナレッジなど、保護しなければならない知的財産を生み出します。能力の高いハッカーは、企業で本番稼動しているシステムに対して壊滅的な影響を与える恐れがあります。またAIは、より発見が難しい形での破壊活動への扉も開いてしまいます。例えばハッカーは、システムを微調整して、システム全体をダウンさせることなく、セキュリティ侵害に気付かせないまま、いくつかの小さな障害を起こすような攻撃を行うことが可能です。
Q:今日のセキュリティおよびリスク・マネジメントのリーダーにとって最大の課題は何ですか
A:最高情報セキュリティ責任者(CISO)は、俊敏性とバイモーダルが不可欠なデジタル・ビジネス環境において、戦略的な計画を策定する任にあります。また、CISOは、IoTとオペレーショナル・テクノロジの統合を管理する人材を獲得する必要があります。
セキュリティ・チームは、常に世の中の動きに敏感であると同時に、先を見越した動きができなければなりません。また、自社のセキュリティ・プログラムに採用すべきものを見極めるために、新しいテクノロジおよびベンダーの状況を把握しておく必要があります。さらに、脅威の種類は急速に進化・発展しているとともに複雑化しているため、セキュリティに対する最新の脅威についても把握しなければなりません。
2018年に施行されるEUの新しいプライバシーおよび個人データ保護規則である「EU一般データ保護規則」(GDPR: General Data Protection Regulation)は、リスクおよびコンプライアンスのリーダーに課題をもたらします。自社のコンプライアンスを確実にする必要があるためです。また、リスクおよびコンプライアンスのリーダーは、徐々に進化して、重点を置く対象をコンプライアンスから、自社を守るためのリスクの効果的な管理へと移行する必要があります。デジタル・ビジネスの取り組みが広がっていることも踏まえ、リスクおよびコンプライアンスのリーダーは、社内の関係者に、新しいテクノロジに伴うリスクやアカウンタビリティ (説明責任) についての理解を促す必要があります。
事業継続管理(BCM)リーダーは、継続的にITおよびビジネスのオペレーションを構築しつつ、より深刻な被害をもたらす脅威、例えば潜在的な災害や破壊的なサイバーテロ活動に対処しなければなりません。また、そうした破壊的要因から組織/情報資産を守るだけでなく、このような破壊的要因を克服してその影響を最小化するための計画も策定すべきです。デジタル・ビジネス・システムには、回復力だけでなく耐性も組み込む必要があります。基幹インフラストラクチャは、サイバー攻撃に対する十分な耐性とともに、大規模な災害からの回復力も有していなければなりません。ビジネスを中断させることなく回復することが、理想です。
ガートナーでは、7月12~14日、「ガートナー セキュリティ&リスク・マネジメント サミット2017」を開催する。このサミットでは、ガートナーの国内外のアナリストならびにコンサルタントが、ビジネスを中断させることなく、深刻化するサイバーセキュリティのリスクを管理するための革新的なテクノロジやプラクティスを紹介するという。
